【企业安全】企业安全建设需求

## 前言 ##

近来“企业安全”这个话题比较火热,一个人的安全部、甲方安全建设相关文章倍受大家欢迎。网上已经有不少甲方安全建设相关文章,其中不乏身经百战之后的填坑解读,也有不少成功的安全项目分享,但大多都是非常体系化的结构。然而本文与之大相径庭,仅从甲方“搬砖工人”的角色出发看待整个企业的安全,结合切身负责或参与的项目,对自己平时工作中的所见+所闻+所思+所感进行记录总结。

之前在国内某老牌安全乙方公司,并没有体系化的做过企业安全建设相关项目;今年刚实现从乙方到甲方的角色转变,甲方安全建设之路也刚开始不久,没有经过系统化、工程化的安全资质培训;仅凭借自身的项目经历(渗透测试、APP安全评估、风险评估、代码审计、应急响应、安全培训等)+平时积累(甲方安全建设相关文章与书籍、向其他甲方安全大佬请教问题等)+最近甲方工作积累,出发视角较为狭小&高度不够,如果出现不足与错误之处,还望指出并劳驾见谅与包涵。

## 企业安全需求 ##

除了没有被外部黑客攻击造成财产损失外,影响企业难以花费成本在安全建设方面的因素还有很多,比如企业业务还没有到达一定规模、没有相关部门的监管、没有第三方的合作监督等。如果要想把公司的安全做好,首先需要获得领导的支持与重视,通常较为常见的有以下几种方式。

1) 安全事件

公司主页被纂改造成不良声誉影响,业务场景存在安全缺陷导致被恶意攻击造成财产损失,内网服务器被远程植入挖矿脚本占用大量系统资源,...各种安全事件层出不穷。作为甲方的安全人员,除了需要掌握必备的安全技能来应对安全事件的发生外,还应该充分认识到每次安全事件的宝贵性,合理、充分的利用安全事件。首先是对产生的原因、影响、危害等进行分析、评估、止血,其次是对原因进行深挖与扩展,联想到企业当前的安全威胁,使之与当前进行的安全项目甚至即将开展的、潜在的安全项目结合,发挥“一次安全事件,一波安全整改,一次企业安全能力提升”的实质效果。

2) 合规检查

不少行业都会有相关机构的安全检查,比如拥有支付牌照的支付公司而言,每年多次的人民银行安全检查,各种合规性要求各种指标都需要达标。此外针对部分系统还要求过等级保护,这无疑又是一层安全的壁垒。

先从乙方公司的角度来看,之前参与过很多安全评估与等级保护的项目,大到运营商与巨头银行,小到基金公司与高等院校,觉得等级保护就那么几个常用招式:技术(漏洞扫描+渗透测试)+咨询(根据企业特点多个checklist走一遍),然后就是项目经理套路式的思维输出在固定模板的报告,交付甲方轻松+愉快。对于中小型公司而言,一般都是这样操作,但也遇到过一些真心想把安全做好的公司,即使不太懂但是头脑思路清晰、逻辑能力很强,每一个得出的结果都需要从头推论,甚至是常对得出的结果产生质疑,乙方人员要是说不出个一二三,别想蒙混过关。不过个人还是比较喜欢这样的客户,因为会使自己的服务水平和专业能力得到不断提升。最难忘的是想吐槽乙方安全公司销售为了单子,让安服工程师听从甲方要求任意篡改漏洞扫描报告,修改高、中危漏洞数量来达到上级部门的检查标准,这种活儿不禁会使人怀疑职业生涯。

站在甲方的角度考虑,各种合规检查无疑是目前来说具备效果的方法之一。因为没有统一详细落地的行业安全标杆,所以很难甄别是否具备足够的安全防御水平。基本需求是“有,总比没有好”,更高的渴望是“充分利用合规检查”落实企业安全建设。企业的安全能力与相关负责人、安全团队息息相关,究竟是务实还是专心搞政治分心做安全,往往取决于人。

3) 企业内鬼

当手握企业大量敏感数据,当工作不再那么负责与忠诚,当个人价值观远远高于企业价值观,再受到外部的金钱诱惑,企业内鬼很容易就会产生。“日防夜防,家贼难防”这句话说的很有道理,唯有进行一些安全建设,比如让员工远离敏感数据(敏感数据分级管理)、对重要文件进行严密保护或监控、员工上网行为管理等,才能减少该类事件的发生,从而避免企业遭受损失。

4) 产品竞争力

安全不是业务发展的阻力,而是产品的竞争力。这句话听起耳熟,说起容易,做起来难。不过无疑也是企业安全项目实施的推动力,从产品的角度出发,让安全成为产品的一个重要特性甚至是闪光点,吸引用户并使用户放心。这部分向客户介绍产品的安全设计理念、先进技术、安全架构甚至提供第三方权威机构的安全评估报告证明。

5) 三方合作要求

如果企业与其他大型互联网合作,一般都会对安全性有所要求。这种情况下,业务会主动找到安全人员为其做安全测试、安全评估,这算是企业安全需求中,业务方最主动的一种情形。这不难说明两个真相:

  • 对外部第三方推动业务安全,对内业务呈现主动趋势
  • 业务为主,凡是业务上需要的都会想办法实现与完成

所以在推动安全项目与公司各部门对接、沟通时,应主动足够去了解其业务特点,抓住他们的痛点和难点及时插入安全因素,甚至为其业务量身打造安全铠甲。

6) 网络安全法实施

从”企业出安全事故,请领导喝茶“的结果去推动安全项目也是十分有效的途径,从法律的角度出发,业务产品、开发会信服,领导也会听取。《网络安全法》条目较多,引用下面一条表明立场。

网络安全法第五十六条:发现网络存在较大安全风险或者发生安全事件的,可以按照规定的权限和程序对该网络的运营者的法定代表人或者主要负责人进行约谈。

## 未完待续 ##

企业安全建设系统文章刚开始,希望大家留言交流,共同探讨!

原文发布于微信公众号 - 我的安全视界观(CANI_Security)

原文发表时间:2018-01-10

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏罗超频道

年轻人的第一部Kindle来了,这次亚马逊不虚小米?

11月21日,据《每日经济新闻》报道,小米智能硬件部总经理唐沐证实,小米确实在做类似于亚马逊Kindle的电纸书产品,由生态链企业负责。

2843
来自专栏数据的力量

O2O的闭环是如何形成的?

1052
来自专栏知晓程序

那些说小程序活不下去的,你真的懂小程序么?

1214
来自专栏机器人网

专家帮你计算机器人的投资回报率

机器人自动化能带给你优势,但你怎么知道? 听说机器人投资正蓬勃发展,并预计未来还会激增。成本不断降低,机器人越来越智能,功能越来越先进。制造业正在回迁内地,叫...

3328
来自专栏BestSDK

谷歌正在测试刷脸支付SDK,可自动通过拍照比对确认用户身份

编辑导语 Oculus发布可绑定Facebook账号新版社交APP,将于月末推出SDK;谷歌正在测试刷脸支付SDK,可自动通过拍照比对确认用户身份;阿里云推出云...

24510
来自专栏人称T客

2017年终大片:中国开发者现状分析

都说中国的程序员没有女朋友,但却没有一个单身的,女程序员依然像恐龙级那样稀有,看片打游戏逛优衣库成为了他们生活中的标配,但是对于前沿技术热衷和对知识学习渴求却从...

34212
来自专栏安恒信息

惊!RSA会议注册信息泄露?

RSA会议进展到第五天,议题精彩不断,沟通讨论部分内容逐渐增加,但线上也发生了意料之外的“波折”。

1162
来自专栏杨建荣的学习笔记

说说数据库排行榜的事情

曾几何时,自己也喜欢看开发语言排行榜,某个语言这个月分数高了,那个月低了,总能掀起不少的口水仗。争着争着,就跟小孩子过家家一样,一切都被时间冲淡了。 这种感觉...

3374
来自专栏云市场·精选汇

电子合同如何助力HR高效管理员工劳动关系?

员工劳动关系管理是HR日常工作中高频接触的工作内容,这个工作涉及到很多细节,比如帮助新员工处理入职的各类手续、文件;在日常工作时审批各类员工的变动、申请;在有员...

1191
来自专栏腾讯大讲堂的专栏

互联网金融产品的设计思考

导语 | 互联网金融是近年来的热门词,刚进入2017,腾讯金融、蚂蚁金融、百度金融就吹响了新的冲锋号:腾讯推出黄金红包,小马哥亲自站台指导;蚂蚁金服并购美国Mo...

3997

扫码关注云+社区